Bilgisayar korsanları, Microsoft 365 ortamlarına yönelik sofistike hesap devralma saldırılarını düzenlemek için HTTP istemci araçlarını giderek daha fazla kullanıyor.
Microsoft 365 kiracılarının şaşırtıcı% 78’i bu tür saldırılarla en az bir kez hedeflendi ve tehdit aktörlerinin gelişen taktiklerini vurguladı.
HTTP istemci araçları, kullanıcıların HTTP istekleri göndermesini ve web sunucularından yanıt almasını sağlayan yazılım uygulamaları veya kütüphanelerdir.
Bu araçlar, istek yöntemlerinin (örneğin, GET, Post, Put, Sil), başlıkların ve yüklerin özelleştirilmesine izin verir, bu da onları hem meşru hem de kötü niyetli amaçlar için çok yönlü hale getirir.
Şubat 2018’de ProofPoint araştırmacıları, Microsoft 365 ortamlarını hedeflemek için nadir görülen bir OKHTTP istemci sürümü (‘OkHTTP/3.2.0’) kullanarak yaygın bir kampanya belirlediler.
Proofpoint’teki araştırmacılar, yaklaşık dört yıl süren bu kampanyanın C seviyesi yöneticileri ve ayrıcalıklı kullanıcılar gibi yüksek değerli hedeflere odaklandığını belirtti.
Saldırganlar, mızrak kimlik avı ve şifre püskürtme gibi diğer tehdit vektörlerini yürütmeden önce geçerli e -posta adreslerini tanımlamak için kullanıcı numaralandırma yöntemlerinden yararlandı.
2018’den bu yana, HTTP müşterileri devralma (ATO) saldırılarında bir temel olarak kaldı. 2024’ün başlarında OKHTTP varyantlarının hakim olduğunu gördü, ancak Mart 2024’e kadar daha geniş bir HTTP müşterisi aralığı çekişti.
Özellikle, AXIOS HTTP istemcisini kullanan yeni bir kampanya, hedeflenen kullanıcı hesaplarının% 43’ünü tehlikeye atarak yüksek bir başarı oranı elde etti. Axios, EvilGinX gibi ortadaki düşman (AITM) platformlarıyla eşleştirildiğinde, kimlik bilgisi, MFA jetonu ve oturum jetonu hırsızlığı sağlar.
Saldırı zinciri
E-posta kaynaklı kimlik avı tehditleri, MFA jetonlarını çalabilen ters proxy araç setlerinden yararlanarak kimlik bilgisi hırsızlığı sağlar, bu da Posta kutusu kurallarını hedeflemek, verileri söndürme ve OAuth uygulamaları oluşturmak için Axios gibi araçlarla çalınan kimlik bilgilerini kullanarak hesap devralmasını kolaylaştırır.
Erişim kazanıldıktan sonra hassas veriler çalınır, erişim izinleri değiştirilir ve gelecekteki yetkisiz erişim için güvenli paylaşım bağlantıları oluşturulur.
Axios’a ek olarak, tehdit aktörleri diğer HTTP müşterilerini kullanarak yaklaşımlarını çeşitlendirdiler.
Örneğin, Node.js’deki yerel HTTP’den getirme API’sına geçişi basitleştiren düğüm getirisi, büyük ölçekte saldırıları otomatikleştirmek için kullanıldı ve eksikliğine rağmen günde ortalama 66.000 kötü niyetli deneme ile 13 milyondan fazla giriş denemesini kaydetti. Axios benzeri müdahale yetenekleri.
.webp)
Benzer şekilde, Ağustos 2024’te Proofpoint, saldırganların GO RESTY’yi (bir Go HTTP/Rest müşterisi) kullanmaya başladığını gözlemledi, Brute Force saldırılarında, Ekim ayına kadar durmasına rağmen, tehdit aktörleri tarafından kullanılan araçların gelişen doğasını vurgulayan bir eğilim.
Tespit ve genel güvenliği artırmak için, gözlemlenen verileri ek göstergelerle ve daha doğru tespitler için tehdit istihbaratıyla birleştirerek kullanıcı aracılarının izlenmesi önerilir.
Ayrıca, tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) uygulanarak güvenliği artırmak çok önemlidir ve HTTP istemcileri de dahil olmak üzere tüm yazılımları düzenli olarak güncellemek, sistemlerin en son güvenlik açıklarına karşı korunmasının sağlanmasına yardımcı olur.
Uzlaşma göstergeleri
Bu saldırılarda kullanılan anahtar HTTP istemci sürümleri şunları içerir:-
- Okhttp: OKHTTP/3.14.7, OKHTTP/3.14.9, OKHTTP/4.11.0 ve OKHTTP/4.12.0 gibi sürümler.
- Python istekleri: Python-Rquests/2.27.1-Python-Requests/2.32.3 gibi sürümler.
- Aksiler: Axios/0.21.1, Axios/0.21.4, Axios/1.4.0 ve Axios/1.7.5 gibi sürümler.
- Düğüm Getirme: Parola püskürtme saldırıları için kullanılır.
- Bettytyty’ye git.: Sürüm Go-Resty/2.14.0.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free